EP1849118B1 - System und verfahren zur anonymisierung von vertraulichen persönlichen daten und verfahren zum erhalten solcher daten - Google Patents

Claims (15)

1. System zur Verwaltung von vertraulichen persönlichen Daten (DD_A), umfassend:

   - ein erstes Computersubsystem (40), umfassend:

   - Mittel (41, 42, 43) zum Erzeugen eines gemeinsamen Schlüssels (IDC_A) aus Identifikationsdaten (ID_A) einer Person (A),

   - eine private Datenbank (45), die den gemeinsamen Schlüssel (IDC_A) den Identifikationsdaten (ID_A) zuordnet, und

   - ein zweites Computersubsystem (30), umfassend:

   - Mittel (38) zum Erhalten des gemeinsamen Schlüssels (IDCA),

   - Mittel zum Erzeugen einer Zufallszahl (NA) aus dem gemeinsamen Schlüssel (IDC_A);

   - Mittel (38) zum Empfangen einer Registrierungsnachricht (M3), die mindestens ein vertrauliches persönliches Datum (DD_A) der Person (A) und die Zufallszahl (NA) aufweist, und

   - Mittel (31, 32, 33) zum Speichern des vertraulichen persönlichen Datums (DD_A) in Verbindung mit der Zufallszahl (NA) und dem gemeinsamen Schlüssel (IDC_A) in einer zweiten Datenbank (35).
2. System zur Verwaltung nach Anspruch 1, dadurch gekennzeichnet, dass das zweite Computersubsystem (30) aufweist:

   - Mittel (31, 32, 33) zum Erhalten mindestens eines reduzierten Datums (DR_A) von einem vertraulichen Datum (DD_A) und

   - Mittel zum Senden einer Nachricht (M6) an das erste Computersubsystem (40), die das reduzierte Datum (DR_A) und den gemeinsamen Schlüssel (IDC_A) aufweist, die dem vertraulichen persönlichen Datum (DD_A) in der zweiten Datenbank (35) zugeordnet sind.
3. System zur Verwaltung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das zweite Computersubsystem (30) Mittel (31, 32, 33) zur statistischen Aufbereitung der vertraulichen Daten (DD_A) aufweist, die in der zweiten Datenbank (35) gespeichert sind.
4. System zur Verwaltung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass das zweite Computersubsystem (30) Mittel zum Erzeugen eines Paares öffentlicher/privater Verschlüsselungsschlüssel (KPRIV_C, KPUB_C) aufweist,
   System zur Verwaltung, wobei die Person (A) einen persönlichen digitalen Träger (10) verwendet, um verschlüsselte Daten (DC) aus dem vertraulichen persönlichen Datum (DD_A), der Zufallszahl (NA) und dem öffentlichen Verschlüsselungsschlüssel (KPUB_C) zu berechnen, wobei die verschlüsselten Daten (DC) geeignet sind, über ein Lesegerät (20) dieses Trägers (10) an das zweite Computersubsystem (30) gesendet zu werden,

   - wobei das zweite Computersubsystem (30), aufweist:

   - Mittel (38) zum Empfangen der verschlüsselten Daten (DC) von dem Lesegerät (20),

   - Mittel (31, 32, 33) zum Entschlüsseln der verschlüsselten Daten (DC) mit dem privaten Verschlüsselungsschlüssel (KPRIV_C) und zum Erhalten der Zufallszahl (NA) und des persönlichen Datums (DD_A) zu ihrer Speicherung in der zweiten Datenbank (35).
5. System zur Verwaltung nach Anspruch 4, dadurch gekennzeichnet, dass der Träger (10) geeignet ist, um die vertraulichen Daten (DD_A) von dem Lesegerät (20) zu empfangen.
6. System zur Verwaltung nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass:

   - das erste Computersubsystem (40) aufweist:

   - Mittel (48) zum Empfangen einer Anfrage (RQ1), um ein besonderes vertrauliches persönliches Datum (DD_A1) von einer Person (A) zu erhalten, und

   - Mittel (48) zum Senden einer Anfrage (RQ2) zur Authentifizierung der Person (A) an das zweite Computersubsystem (30), wobei die Anfrage zur Authentifizierung (RQ2) eine Kennung (NF) des besonderen vertraulichen persönlichen Datums (DD_A1) und den gemeinsamen Schlüssel (IDC_A) aufweist, der aus den Identifikationsdaten (ID_A) der Person (A) erzeugt ist, und dadurch, dass

   - das zweite Computersubsystem (30) aufweist:

   - Mittel (38) zum Empfangen der Anfrage zur Authentifizierung (RQ2),

   - Mittel (31, 32, 33) zur Authentifizierung der Person (A) und

   - Mittel (38) zum Senden des besonderen vertraulichen persönlichen Datums (DD_A1) an das erste Computersubsystem (40) im Falle der erfolgreichen Authentifizierung.
7. System zur Verwaltung nach einem der Ansprüche 1 bis 6, wobei die vertraulichen persönlichen Daten bestehen aus:

   - detaillierten medizinischen Daten (DD_A) in Bezug auf eine für einen Patienten (A) durchgeführte medizinische Leistung, wobei diese detaillierten medizinischen Daten (DD_A) mit reduzierten medizinischen Daten (DR_A) verbunden sind, und

   - zusätzlichen Informationen, die einen Betrag (MP) der Leistung umfassen.
8. System zur Verwaltung nach Anspruch 7, dadurch gekennzeichnet, dass:

   - die zweite Datenbank (35) in Verbindung mit dem gemeinsamen Schlüssel (IDC_A), der für einen Patienten (A) erzeugt wird, Informationen (DT_A) speichert , die für die Rechte (DT_A) dieses Patienten (A) repräsentativ sind, und dadurch, dass:

   - das zweite Computersubsystem (30) aufweist:

   - Mittel (31, 32, 33) zum Berechnen eines Rückerstattungsbetrags (MR) aus den Rechten (DT_A) dieses Patienten (A) und dem Betrag der Leistung (MP), der in Form von verschlüsselten Daten (DC) von dem Lesegerät (20) einer medizinischen Fachkraft empfangen wird, das geeignet ist, den persönlichen digitalen Träger (10) des Patienten (A) zu lesen, und

   - Mittel (38) zum Senden des Rückerstattungsbetrags (MR) an das Lesegerät (20) oder das erste Computersubsystem (40).
9. Verfahren zur Verwaltung von vertraulichen persönlichen Daten (DD_A), das durch das zweite Computersubsystem (30) eines Systems zur Verwaltung nach einem der Ansprüche 1 bis 8 umgesetzt werden kann, umfassend:

   - einen Schritt (E10) des Erhaltens eines gemeinsamen Schlüssels (IDC_A), der durch das erste Computersubsystem (40) des Systems zur Verwaltung aus Identifikationsdaten (ID_A) einer Person (A) erzeugt wird, wobei das erste Computersubsystem (40) die private Datenbank (45) aufweist, die den gemeinsamen Schlüssel (IDC_A) den Identifikationsdaten (ID_A) zuordnet,

   - einen Schritt (E12) des Erzeugens einer Zufallszahl (NA) aus dem gemeinsamen Schlüssel (IDC_A),

   - einen Schritt (E18) des Empfangens einer Registrierungsnachricht (M3), die mindestens ein vertrauliches persönliches Datum (DD_A) der Person (A) und die Zufallszahl (NA) aufweist, und

   - einen Schritt (E22) des Speicherns des vertraulichen persönlichen Datums (DD_A) in Verbindung mit der Zufallszahl (NA) und dem gemeinsamen Schlüssel (IDC_A) in der zweiten Datenbank (35) des zweiten Computersubsystems (30).
10. Verfahren zur Verwaltung nach Anspruch 9, dadurch gekennzeichnet, dass es aufweist:

    - einen Schritt (E24) des Erhaltens von reduzierten Daten (DR_A) von einem vertraulichen Datum (DD_A) und

    - einen Schritt (E26) des Sendens einer Nachricht (M6) an ein erstes Computersubsystem (40) eines Systems zur Verwaltung nach einem der Ansprüche 1 bis 8, die das reduzierte Datum (DR_A) und den gemeinsamen Schlüssel (IDC_A) aufweist, der dem vertraulichen Datum (DD_A) in der zweiten Datenbank (35) zugeordnet ist.
11. Verfahren zur Verwaltung nach Anspruch 9 oder 10, dadurch gekennzeichnet, dass es ferner aufweist:

    - einen Schritt (E18) des Empfangens von verschlüsselten Daten (DC), die aus einem vertraulichen persönlichen Datum (DD_A), einer Zufallszahl (NA) und einem öffentlichen Verschlüsselungsschlüssel (KPUB_C) berechnet werden,

    - einen Schritt (E20) des Entschlüsselns der verschlüsselten Daten (DC) mit dem privaten Verschlüsselungsschlüssel (KPRIV_C), der mit dem öffentlichen Verschlüsselungsschlüssel (KPUB_C) verbunden ist, um die Zufallszahl (NA) und das persönliche Datum (DD_A) zu ihrer Speicherung in der zweiten Datenbank (35) zu erhalten.
12. Verfahren zur Verwaltung nach einem der Ansprüche 9 bis 11, wobei die vertraulichen persönlichen Daten bestehen aus:

    - detaillierten medizinischen Daten (DD_A) in Bezug auf eine für einen Patienten (A) durchgeführte medizinische Leistung,
    wobei diese detaillierten medizinischen Daten (DD_A) mit reduzierten medizinischen Daten (DR_A) verbunden sind, und

    - zusätzlichen Informationen, die einen Betrag (MP) der Leistung umfassen, und wobei die zweite Datenbank (35) in Verbindung mit dem gemeinsamen Schlüssel (IDC_A), der für einen Patienten (A) erzeugt wird, Informationen (DT_A) speichert (E14), die für die Rechte (DT_A) dieses Patienten (A) repräsentativ sind, wobei dieses Verfahren dadurch gekennzeichnet ist, dass es aufweist:

    - einen Schritt (E28) des Berechnens eines Rückerstattungsbetrags (MR) aus den Rechten (DT_A) dieses Patienten (A) und dem Betrag der Leistung (MP), der in Form von verschlüsselten Daten (DC) von einem Lesegerät (20) von einem persönlichen digitalen Träger (10) des Patienten (A) empfangen wird, und

    - einen Schritt (E30) des Sendens des Rückerstattungsbetrags (MR) an das Lesegerät (20) oder das erste Computersubsystem (40).
13. Verfahren zur Verwaltung nach einem der Ansprüche 10 bis 12, dadurch gekennzeichnet, dass es aufweist:

    - einen Schritt (E32) des Empfangens einer Anfrage zur Authentifizierung (RQ2) von dem zweiten Computersubsystem (40), wobei die Anfrage zur Authentifizierung (RQ2) eine Kennung (NF) des besonderen vertraulichen persönlichen Datums (DD_A1) und einen gemeinsamen Schlüssel (IDC_A) aufweist, der für eine Person (A) erzeugt wird,

    - einen Schritt (E34) der Authentifizierung der Person (A) und

    - einen Schritt (E36) des Sendens des besonderen vertraulichen persönlichen Datums (DD_A1) an das erste Computersubsystem (40) im Falle der erfolgreichen Authentifizierung.
14. Computerprogramm, umfassend Anweisungen, die, wenn das Programm von dem zweiten Computersubsystem (30) eines Systems zur Verwaltung nach einem der Ansprüche 1 bis 8 ausgeführt wird, dieses dazu bringen, das Verfahren zur Verwaltung von vertraulichen persönlichen Daten nach einem der Ansprüche 9 bis 13 umzusetzen.
15. Informationsträger, der von dem zweiten Computersubsystem (30) eines Systems zur Verwaltung nach einem der Ansprüche 1 bis 8 gelesen werden kann, umfassend Anweisungen, die, wenn das Programm von dem zweiten Computersubsystem (30) ausgeführt wird, dieses dazu bringen, das Verfahren zur Verwaltung von vertraulichen persönlichen Daten nach einem der Ansprüche 9 bis 13 umzusetzen.

Images